İÇİNDEKİLER
1. GİRİŞ
1.1. Politikanın Amacı ve Kapsamı
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup; işbu SGRCRAFT Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), SGRCRAFT’ın (“SGRCRAFT” veya “Şirket”) Kanun’a uyumluluğunun sağlanmasını ve Şirket tarafından kişisel verilerin korunması ve işlenmesine ilişkin yükümlülüklerin yerine getirilmesinde uyulacak prensiplerin belirlenmesini amaçlamaktadır.
Politika, kişisel verilerin işleme şartlarını belirlemekte ve kişisel verilerin işlenmesinde SGRCRAFT tarafından benimsenen ana ilkeleri ortaya koymaktadır. Bu çerçevede Politika, Kanun kapsamındaki tüm kişisel veri işleme faaliyetlerini, Şirket’in işlediği tüm kişisel verilerin sahiplerini ve işlediği tüm kişisel verileri kapsamaktadır.
Not: Çalışan kişisel verilerine ilişkin hususlar bu Politika’nın kapsamında olmayıp, ilgili iç politika ve prosedürlerde ayrıca düzenlenir.
1.2. Yürürlük ve Değişiklik
Politika, SGRCRAFT tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
SGRCRAFT, yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutar. Politika’nın güncel versiyonuna sgrcraft.com üzerinden erişilebilir.
2. ŞİRKETİN YÜRÜTTÜĞÜ KİŞİSEL VERİ İŞLEME FAALİYETLERİ
2.1. Veri Sahipleri
Politika kapsamındaki veri sahipleri, SGRCRAFT tarafından kişisel verileri işlenen, Şirket çalışanları dışındaki tüm gerçek kişilerdir. Genel kategoriler:
| # |
Veri Sahibi Kategorisi |
Açıklama |
| 1 |
Müşteri |
SGRCRAFT’ın sunduğu ürün ve hizmetlerden yararlanan gerçek kişiler. |
| 2 |
Potansiyel Müşteri |
Ürün/hizmetleri kullanma ilgisi gösteren gerçek kişiler. |
| 3 |
Ziyaretçi |
Şirket yerleşkelerini veya internet sitesini ziyaret eden gerçek kişiler. |
| 4 |
Çalışan Adayı |
SGRCRAFT’a iş başvurusunda bulunan gerçek kişiler. |
| 5 |
Üçüncü Kişiler |
Yukarıdakiler dışındaki diğer gerçek kişiler (genel nitelikte). |
2.2. Kişisel Veri İşleme Amaçları
SGRCRAFT tarafından kişisel verileriniz, Kanun’da yer alan işleme şartlarına uygun olarak aşağıdaki amaçlarla işlenebilir:
- Ürün/Hizmet Sunumu: Satış süreçleri, satış sonrası destek, müşteri ilişkileri yönetimi, sözleşme ve hukuki taleplerin takibi.
- Müşteri Talep/Şikâyet Yönetimi: Başvuruların alınması, değerlendirilmesi ve yanıtlanması.
- İnsan Kaynakları Süreçleri: Personel temin, atama/terfi, eğitim, performans, ücret ve yan hak yönetimi vb.
- Ticari Faaliyetlerin Yürütülmesi: Operasyon, tedarik zinciri, üretim, BT altyapısı, bilgi güvenliği, finans/muhasebe, lojistik.
- Pazarlama ve Tanıtım: Kişiye özel pazarlama/tanıtım, dijital kampanyalar, veri analitiği, bağlılık süreçleri. (Açık rızaya tabidir.)
- Strateji ve İş Ortaklığı Yönetimi: İş ortakları/tedarikçilerle ilişkiler.
- Hukuki/Teknik/Ticari Güvenlik: Hukuk işlerinin takibi, mevzuata uyum, yetkili mercilere bilgi, acil durum yönetimi, denetim, İSG, risk yönetimi, tesis/operasyon güvenliği.
2.3. Kişisel Veri Kategorileri
| Kategori |
Açıklama |
| Kimlik / İletişim |
Kimlik dokümanları; telefon, adres, e-posta vb. |
| Müşteri / Müşteri İşlem |
Ürün/hizmet kullanımı ve talimatlarına ilişkin kayıtlar. |
| Aile Bireyleri/Yakın |
Gerekli hallerde ilgili yakınlara ait bilgiler. |
| Fiziksel Mekân Güvenliği |
Kamera vb. kayıtlar. |
| İşlem Güvenliği |
Teknik/idari/hukuki güvenliğe ilişkin veriler. |
| Finansal |
İş ilişkisinin finansal sonuçlarına dair veriler. |
| Çalışan Adayı |
Başvuru ve değerlendirme süreçlerine ilişkin veriler. |
| Hukuki Uyum / Denetim |
Yükümlülük ve uygunluk süreçlerine dair veriler. |
| Özel Nitelikli Veri |
Kanun m.6’da sayılan hassas veriler. |
| Pazarlama |
Kullanım alışkanlıkları, tercihleri, kampanya etkileşimleri. |
| Talep/Şikâyet / İtibar / Olay |
Talepler, şikâyetler, itibar ve olay yönetimi verileri. |
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER VE ŞARTLAR
3.1. İlkeler
- Hukuka ve dürüstlük kurallarına uygunluk
- Doğru ve güncel olma
- Belirli, açık ve meşru amaçlar
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- Mevzuat veya amaç için gerekli süre kadar muhafaza
3.2. Şartlar
- Açık rıza (diğer şartların bulunmadığı hallerde)
- Kanunlarda açıkça öngörülme
- Fiili imkânsızlık/beden bütünlüğünün korunması için zorunluluk
- Sözleşmenin kurulması/ifası ile doğrudan ilgili olma
- Hukuki yükümlülüklerin yerine getirilmesi
- Veri sahibinin veriyi alenileştirmesi (alenileştirme amacıyla sınırlı)
- Bir hakkın tesisi/kullanılması/korunması için zorunluluk
- Meşru menfaat (temel hak ve özgürlüklere zarar vermemek kaydıyla)
3.3. Özel Nitelikli Veriler
Kanun m.6 kapsamındaki özel nitelikli veriler, Kurulca belirlenen ilave tedbirler sağlanarak;
- Sağlık ve cinsel hayat dışındakiler: Açık rıza veya kanunda öngörülme halinde,
- Sağlık ve cinsel hayata ilişkin veriler: Kamu sağlığı, tıbbî teşhis/tedavi ve finansmanı gibi amaçlarla, sır saklama yükümlüsü kişiler/kurumlarca açık rıza aranmaksızın
İletişim İzni: Pazarlama/iletişim faaliyetleri açık rızaya tabidir; rıza her zaman geri çekilebilir.
4. KİŞİSEL VERİLERİN AKTARILMASI
SGRCRAFT, Kanun m.8-9 ve Kurul düzenlemelerine uygun olarak; yurtiçi/yurtdışına aktarımı, işleme şartlarından en az birine dayanarak ve temel ilkelere uyarak yapar. Güvenli ülke şartlarının sağlanmadığı hallerde yeterli koruma taahhüdü ve Kurul izni aranır.
| Paylaşılan Taraf |
Kapsam |
Aktarım Amacı |
| İş Ortağı |
Ticari faaliyetlerde iş birliği yapılan taraflar |
İş ortaklığı amaçlarının yerine getirilmesi |
| Tedarikçi |
Hizmet alınan üçüncü kişiler |
Dış kaynak hizmetlerinin sağlanması ile sınırlı aktarım |
| İştirak |
Şirket iştirakleri |
İştirak katılımı gerektiren faaliyetler |
| Yetkili Kamu Kurumu |
Bilgi talep yetkisine sahip kurumlar |
Mevzuat kapsamındaki bilgi taleplerinin karşılanması |
| Yetkili Özel Kurum |
Bilgi talep yetkisine sahip özel hukuk kişileri |
Yetki kapsamında talep edilen bilgi paylaşımı |
5. VERİ SAHİPLERİNİN AYDINLATILMASI VE HAKLARI
Kanun m.10 uyarınca aydınlatma yükümlülüğü kapsamında; amaçlar için bkz. 2.2, aktarımlar için bkz. 4, işleme şartları için bkz. 3.2-3.3.
Kanun m.11 uyarınca haklarınız:
- İşlenip işlenmediğini öğrenme, işlendiyse bilgi talep etme
- Amacı ve amaca uygun kullanımını öğrenme
- Yurt içi/dışı aktarılan üçüncü kişileri bilme
- Eksik/yanlış işlenen verilerin düzeltilmesini ve bildirimi isteme
- İşleme sebepleri ortadan kalktığında silme/yok etme/anonimleştirme ve bildirimi isteme
- Münhasıran otomatik sistemlerle analiz sonucu aleyhe sonuca itiraz
- Kanuna aykırı işleme nedeniyle zararın giderilmesini talep
Başvurularınızı Şirket’e iletebilirsiniz. Talebiniz niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırılır; ayrıca maliyet gerektiren işlemlerde Kurul tarifesi uygulanır. Başvurular, kimlik doğrulaması yapılarak yazılı veya elektronik ortamda yanıtlanır.
6. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ
Kanun m.7 gereği, hukuka uygun işlenmiş olsa dahi işleme sebeplerinin ortadan kalkması halinde SGRCRAFT, Kurum rehberlerine uygun biçimde kişisel verileri siler, yok eder veya anonim hale getirir.
7. KANUN KAPSAMI VE UYGULAMASINA İLİŞKİN KISITLAMALAR
Kanun Kapsamı Dışındaki Haller
- Gerçek kişilerin kişisel/aynı konutta aile faaliyetleri (üçüncü kişilere verilmemek ve güvenliğe uymak şartıyla)
- Resmî istatistik ve anonimleştirilmiş araştırma/planlama/istatistik
- Özel hayat/kişilik hakları ihlal edilmemek ve suç oluşturmamak kaydıyla sanat/tarih/edebiyat/bilim veya ifade özgürlüğü
- Yetkili kamu kurumlarının önleyici/koruyucu/istihbari faaliyetleri
- Yargı makamları/infaz mercilerince yürütülen işlemler
Aydınlatmanın Yapılmayabileceği ve Bazı Hakların Kullanılamayacağı Haller
- Suç işlenmesinin önlenmesi veya soruşturma için zorunluluk
- İlgili kişi tarafından alenileştirilmiş veriler
- Kanuni yetki kapsamında denetim/düzenleme/disiplin süreçleri
- Devletin ekonomik/mali çıkarlarının korunması (bütçe, vergi vb.)
EK-1: TANIMLAR
| Tanım |
Açıklama |
| Açık Rıza |
Belirli konuya ilişkin, bilgilendirmeye dayanan, özgür iradeyle açıklanan rıza. |
| Anonim Hale Getirme |
Kimliği belirli/belirlenebilir kişiyle ilişkilendirilemeyecek hale getirme. |
| Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Özel Nitelikli Kişisel Veri |
Kanun m.6’da sayılan hassas veriler. |
| Veri Sahibi |
Kişisel verisi işlenen gerçek kişi. |
| Veri İşleyen |
Veri sorumlusu adına kişisel veri işleyen gerçek/tüzel kişi. |
| Veri Sorumlusu |
İşleme amaç ve vasıtalarını belirleyen kişi/kurum. |
| Politika |
SGRCRAFT Kişisel Verilerin İşlenmesi ve Korunması Politikası. |